Wat is Azure Firewall?

Azure Firewall is een cloudeigen en intelligente netwerkfirewallbeveiligingsservice die het beste bescherming biedt tegen bedreigingen voor uw cloudworkloads die worden uitgevoerd in Azure. Het is een volledig stateful firewall als een service met ingebouwde hoge beschikbaarheid en onbeperkte schaalbaarheid van de cloud. Het biedt zowel oost-west- als noord-zuid verkeersinspectie.

Azure Firewall wordt aangeboden in twee SKU's: Standard en Premium.

Azure Firewall Standard

Azure Firewall Standard biedt rechtstreeks vanuit Microsoft Cyber Security filteren en bedreigingsinformatiefeeds voor L3-L7. Filteren op basis van bedreigingsinformatie kan verkeer waarschuwen en weigeren van/naar bekende schadelijke IP-adressen en domeinen die in realtime worden bijgewerkt om te beschermen tegen nieuwe en opkomende aanvallen.

Firewall Standard overview

Zie Azure Firewall Standard-functies voor meer informatie over de standaardfuncties van Firewall.

Azure Firewall Premium

Azure Firewall Premium biedt geavanceerde mogelijkheden, zoals op handtekeningen gebaseerde IDPS, om snelle detectie van aanvallen mogelijk te maken door specifieke patronen te zoeken. Deze patronen kunnen bytereeksen bevatten in netwerkverkeer of bekende schadelijke instructiereeksen die worden gebruikt door malware. Er zijn meer dan 58.000 handtekeningen in meer dan 50 categorieën die in realtime worden bijgewerkt om bescherming te bieden tegen nieuwe en opkomende aanvallen. De misbruikcategorieën omvatten malware, phishing, muntanalyse en Trojaanse aanvallen.

Firewall Premium overview

Zie Azure Firewall Premium functies voor meer informatie over firewallfuncties Premium.

Azure Firewall Manager

U kunt Azure Firewall Manager gebruiken om Azure Firewalls centraal te beheren in meerdere abonnementen. Firewall Manager maakt gebruik van firewallbeleid om een algemene set netwerk-/toepassingsregels en configuratie toe te passen op de firewalls in uw tenant.

Firewall Manager ondersteunt firewalls in zowel VNet- als Virtual WAN-omgevingen (Secure Virtual Hub). Beveiligde virtuele hubs maken gebruik van de Virtual WAN oplossing voor routeautomatisering om het routeren van verkeer naar de firewall met een paar klikken te vereenvoudigen.

Zie Azure Firewall Manager voor meer informatie over Azure Firewall Manager.

Prijzen en SLA

Zie Azure Firewall-prijzen voor informatie over Azure Firewall-prijzen.

Zie SLA voor Azure Firewall voor informatie over de SLA voor Azure Firewall.

Ondersteunde regio’s

Zie Azure-producten die beschikbaar zijn per regio voor de ondersteunde regio's voor Azure Firewall.

Nieuwe functies

Zie Azure-updates om te ontdekken wat er nieuw is in Azure Firewall.

Bekende problemen

Azure Firewall Standard

Azure Firewall Standard heeft de volgende bekende problemen:

Notitie

Elk probleem dat van toepassing is op Standard is ook van toepassing op Premium.

Probleem Beschrijving Oplossing
Netwerkfilterregels voor niet-TCP/UDP-protocollen (bijvoorbeeld ICMP) werken niet voor internetverkeer Netwerkfilterregels voor niet-TCP/UDP-protocollen werken niet met SNAT naar uw openbare IP-adres. Niet-TCP/UDP-protocollen worden ondersteund tussen spoke-subnetten en VNets. Azure Firewall maakt gebruik van de standaardversie van Standard Load Balancer, die momenteel geen ondersteuning biedt voor SNAT voor IP-protocollen. We onderzoeken mogelijkheden om dit scenario in een toekomstige release te ondersteunen.
Ontbrekende PowerShell- en CLI-ondersteuning voor ICMP Azure PowerShell en CLI bieden geen ondersteuning voor ICMP als een geldig protocol in netwerkregels. Het is nog steeds mogelijk om ICMP als een protocol te gebruiken via de portal en de REST-API. Er wordt aan gewerkt om ICMP binnenkort toe te voegen in PowerShell en CLI.
FQDN-tags vereisen instelling van een protocol: poort Voor toepassingsregels met FQDN-tags is definitie van poort: protocol vereist. U kunt https gebruiken als de waarde voor poort:protocol. Er wordt aan gewerkt om dit veld optioneel te maken wanneer FQDN-tags worden gebruikt.
Het verplaatsen van een firewall naar een andere resourcegroep of een ander abonnement wordt niet ondersteund Het verplaatsen van een firewall naar een andere resourcegroep of een ander abonnement wordt niet ondersteund. Ondersteuning van deze functionaliteit staat op de planning. Om een firewall naar een andere resourcegroep of ander abonnement verplaatsen, moet u het huidige exemplaar verwijderen en deze vervolgens opnieuw maken in de nieuwe resourcegroep of het nieuwe abonnement.
Waarschuwingen met betrekking tot bedreigingsinformatie worden mogelijk gemaskeerd Netwerkregels met bestemming 80/443 voor uitgaande filtering maskeren bedreigingsinformatiewaarschuwingen wanneer deze zijn geconfigureerd voor de modus alleen-waarschuwingen. Maak uitgaande filters voor 80/443 met behulp van toepassingsregels. U kunt ook de modus voor bedreigingsinformatie wijzigen in Waarschuwen en weigeren.
Azure Firewall DNAT werkt niet voor privé-IP-doelen DNAT-ondersteuning van Azure Firewall is beperkt tot inkomend/uitgaand internetverkeer. DNAT werkt momenteel niet voor privé-IP-doelen. Bijvoorbeeld, spoke naar spoke. Dit is een huidige beperking.
Kan de eerste openbare IP-configuratie niet verwijderen Elk openbaar IP-adres van Azure Firewall wordt toegewezen aan een IP-configuratie. De eerste IP-configuratie wordt toegewezen tijdens de implementatie van de firewall en bevat doorgaans een verwijzing naar het subnet van de firewall (tenzij expliciet anders is geconfigureerd via een sjabloonimplementatie). U kunt deze IP-configuratie niet verwijderen omdat hiermee de toewijzing van de firewall ongedaan wordt gemaakt. U kunt het openbare IP-adres dat is gekoppeld aan deze IP-configuratie nog steeds wijzigen of verwijderen als de firewall over ten minste één ander openbaar IP-adres beschikt. Dit is standaard.
Beschikbaarheidszones kunnen alleen worden geconfigureerd tijdens de implementatie. Beschikbaarheidszones kunnen alleen worden geconfigureerd tijdens de implementatie. U kunt Beschikbaarheidszones niet configureren nadat er een firewall is geïmplementeerd. Dit is standaard.
SNAT op inkomende verbindingen Naast DNAT worden verbindingen via het openbare IP-adres van de firewall (inkomend) met SNAT omgezet naar een van de privé-IP's van de firewall. Deze vereiste is (ook voor Actieve/Actieve NVA's) om symmetrische routering te garanderen. Als u de oorspronkelijke bron voor HTTP/S wilt behouden, kunt u XFF-headers gebruiken. Gebruik bijvoorbeeld een service als Azure Front Door of Azure Application Gateway vóór de firewall. U kunt ook WAF toevoegen als onderdeel van Azure Front Door en ketenen aan de firewall.
Ondersteuning voor SQL FQDN-filtering alleen in proxymodus (poort 1433) Voor Azure SQL Database, Azure Synapse Analytics en Azure SQL Managed Instance:

Filteren met SQL FQDN wordt alleen ondersteund in de proxymodus (poort 1433).

Voor Azure SQL IaaS:

Als u werkt met niet-standaard poorten, kunt u die poorten opgeven in de toepassingsregels.
Voor SQL in de omleidingsmodus (de standaardinstelling als u verbinding maakt vanuit Azure), kunt u in plaats daarvan de toegang filteren met behulp van de SQL-servicetag als onderdeel van Azure Firewall-netwerkregels.
Uitgaand SMTP-verkeer op TCP-poort 25 wordt geblokkeerd Uitgaande e-mailberichten die rechtstreeks worden verzonden naar externe domeinen (zoals outlook.com en gmail.com) op TCP-poort 25, worden geblokkeerd door Azure Firewall. Dit is het standaardplatformgedrag in Azure. Gebruik geverifieerde SMTP-relayservices, die doorgaans verbinding maken via TCP-poort 587, maar ook andere poorten ondersteunen. Zie Problemen met uitgaande SMTP-connectiviteit in Azure oplossen voor meer informatie. Momenteel kan Azure Firewall mogelijk communiceren met openbare IP-adressen met behulp van uitgaande TCP 25, maar het werkt niet gegarandeerd en wordt niet ondersteund voor alle abonnementstypen. Voor privé-IP's, zoals virtuele netwerken, VPN's en Azure ExpressRoute, ondersteunt Azure Firewall een uitgaande verbinding van TCP-poort 25.
SNAT-poortuitputting Azure Firewall ondersteunt momenteel 2496 poorten per openbaar IP-adres per exemplaar van de virtuele-machineschaalset van de back-end. Standaard zijn er twee instanties van virtuele-machineschaalsets. Er zijn dus 4992 poorten per stroom (doel-IP, doelpoort en protocol (TCP of UDP). De firewall wordt geschaald tot maximaal 20 exemplaren. Dit is een platformbeperking. U kunt de limieten omzeilen door Azure Firewall implementaties te configureren met minimaal vijf openbare IP-adressen voor implementaties die gevoelig zijn voor SNAT-uitputting. Dit verhoogt de SNAT-poorten die vijf keer beschikbaar zijn. Wijs toe vanuit een IP-adresvoorvoegsel om downstreammachtigingen te vereenvoudigen. Voor een permanentere oplossing kunt u een NAT-gateway implementeren om de SNAT-poortlimieten te overwinnen. Deze methode wordt ondersteund voor VNET-implementaties.

Zie SNAT-poorten schalen met Azure Virtual Network NAT voor meer informatie.
DNAT wordt niet ondersteund als geforceerde tunneling is ingeschakeld Firewalls die zijn geïmplementeerd met geforceerde tunneling, bieden geen ondersteuning voor inkomende toegang via internet vanwege asymmetrische routering. Dit is standaard vanwege asymmetrische routering. Het retourtraject voor binnenkomende verbindingen gaat via de on-premises firewall, waarvoor geen verbinding is gemaakt.
Uitgaande passieve FTP werkt mogelijk niet voor firewalls met meerdere openbare IP-adressen, afhankelijk van de configuratie van uw FTP-server. Passieve FTP brengt verschillende verbindingen tot stand voor controle- en gegevenskanalen. Wanneer een firewall met meerdere openbare IP-adressen gegevens uitgaand verzendt, wordt willekeurig een van de openbare IP-adressen geselecteerd voor het bron-IP-adres. FTP kan mislukken wanneer gegevens- en besturingskanalen gebruikmaken van verschillende bron-IP-adressen, afhankelijk van de configuratie van uw FTP-server. Er wordt een expliciete SNAT-configuratie gepland. Ondertussen kunt u uw FTP-server zo configureren dat gegevens en besturingskanalen van verschillende bron-IP-adressen worden geaccepteerd (zie een voorbeeld voor IIS). U kunt in deze situatie ook één IP-adres gebruiken.
Inkomende passieve FTP werkt mogelijk niet, afhankelijk van de configuratie van uw FTP-server Passieve FTP brengt verschillende verbindingen tot stand voor controle- en gegevenskanalen. Binnenkomende verbindingen op Azure Firewall worden SNATed naar een van de privé-IP-adressen van de firewall om symmetrische routering te garanderen. FTP kan mislukken wanneer gegevens- en besturingskanalen gebruikmaken van verschillende bron-IP-adressen, afhankelijk van de configuratie van uw FTP-server. Behoud van het oorspronkelijke bron-IP-adres wordt onderzocht. In de tussentijd kunt u uw FTP-server zo configureren dat gegevens- en besturingskanalen van verschillende bron-IP-adressen worden geaccepteerd.
Actieve FTP werkt niet wanneer de FTP-client een FTP-server via internet moet bereiken. Actieve FTP maakt gebruik van een POORT-opdracht van de FTP-client waarmee de FTP-server wordt omgezet welk IP-adres en welke poort moet worden gebruikt voor het gegevenskanaal. Deze POORT-opdracht maakt gebruik van het privé-IP-adres van de client die niet kan worden gewijzigd. Verkeer aan de clientzijde dat de Azure Firewall doorkruist, is NAT voor communicatie via internet, waardoor de poortopdracht wordt gezien als ongeldig door de FTP-server. Dit is een algemene beperking van Active FTP wanneer deze wordt gebruikt in combinatie met NAT aan de clientzijde.
Er ontbreekt een protocoldimensie in de metrische gegevens voor NetworkRuleHit Met de metrische waarde ApplicationRuleHit kunt u filteren op basis van een protocol, maar deze mogelijkheid ontbreekt in de bijbehorende metrische gegevens voor NetworkRuleHit. Er wordt een oplossing onderzocht.
NAT-regels met poorten tussen 64000 en 65535 worden niet ondersteund Azure Firewall staat elke poort toe in het bereik 1-65535 toe in netwerk- en toepassingsregels, maar NAT-regels ondersteunen alleen poorten in het bereik van 1-63999. Dit is een huidige beperking.
Configuratie-updates kunnen gemiddeld vijf minuten duren Een Azure Firewall-configuratie-update kan gemiddeld drie tot vijf minuten duren en parallelle updates worden niet ondersteund. Er wordt een oplossing onderzocht.
Azure Firewall gebruikt SNI TLS-headers om HTTPS- en MSSQL-verkeer te filteren Als browser- of serversoftware de SNI-extensie (Server Name Indicator) niet ondersteunt, kunt u geen verbinding maken via Azure Firewall. Als browser- of serversoftware geen ondersteuning biedt voor SNI, kunt u mogelijk de verbinding beheren met behulp van een netwerkregel in plaats van een toepassingsregel. Raadpleeg Servernaamindicatie voor software die SNI ondersteunt.
Kan geen firewallbeleidstags toevoegen met behulp van arm-sjablonen (Portal of Azure Resource Manager) Azure Firewall Beleid heeft een beperking voor patchondersteuning die voorkomt dat u een tag toevoegt met behulp van de Azure Portal- of ARM-sjablonen. De volgende fout wordt gegenereerd: kan de tags voor de resource niet opslaan. Er wordt een oplossing onderzocht. U kunt ook de cmdlet Azure PowerShell Set-AzFirewallPolicy gebruiken om tags bij te werken.
IPv6 wordt momenteel niet ondersteund Als u een IPv6-adres toevoegt aan een regel, mislukt de firewall. Gebruik alleen iPv4-adressen. Ondersteuning voor IPv6 wordt onderzocht.
Het bijwerken van meerdere IP-groepen mislukt met conflictfout. Wanneer u twee of meer IP-groepen bijwerkt die zijn gekoppeld aan dezelfde firewall, krijgt een van de resources de status Mislukt. Dit is een bekend probleem/beperking.

Wanneer u een IP-groep bijwerkt, wordt er een update geactiveerd voor alle firewalls waaraan de IPGroup is gekoppeld. Als een update naar een tweede IP-groep wordt gestart terwijl de firewall nog steeds de status Bijwerken heeft, mislukt de UPDATE van IPGroup.

Om de fout te voorkomen, moeten IP-groepen die aan dezelfde firewall zijn gekoppeld, één voor één worden bijgewerkt. Sta voldoende tijd tussen updates toe zodat de firewall de status Bijwerken kan ophalen.
RuleCollectionGroups verwijderen met ARM-sjablonen wordt niet ondersteund. Het verwijderen van een RuleCollectionGroup met ARM-sjablonen wordt niet ondersteund en resulteert in een fout. Dit is geen ondersteunde bewerking.
DNAT-regel voor het toestaan van een (*) zal SNAT-verkeer. Als een DNAT-regel een (*) toestaat als bron-IP-adres, komt een impliciete netwerkregel overeen met VNet-VNet verkeer en wordt altijd SNAT het verkeer. Dit is een huidige beperking.
Het toevoegen van een DNAT-regel aan een beveiligde virtuele hub met een beveiligingsprovider wordt niet ondersteund. Dit resulteert in een asynchrone route voor het retourneren van DNAT-verkeer, dat naar de beveiligingsprovider gaat. Wordt niet ondersteund.
Er is een fout opgetreden bij het maken van meer dan 2000 regelverzamelingen. Het maximale aantal NAT-/toepassings- of netwerkregelverzamelingen is 2000 (Resource Manager limiet). Dit is een huidige beperking.
Kan de naam van de netwerkregel niet zien in Azure Firewall logboeken Azure Firewall logboekgegevens voor netwerkregels bevatten niet de regelnaam voor netwerkverkeer. Logboekregistratie van netwerkregelnamen is in preview. Zie Azure Firewall preview-functies voor meer informatie.
XFF-header in HTTP/S XFF-headers worden overschreven met het oorspronkelijke IP-adres van de bron, zoals wordt gezien door de firewall. Dit is van toepassing voor de volgende use cases:
- HTTP-aanvragen
- HTTPS-aanvragen met TLS-beëindiging
Er wordt een oplossing onderzocht.
Kan geen upgrade uitvoeren naar Premium met Beschikbaarheidszones in de regio Azië - zuidoost U kunt momenteel geen upgrade uitvoeren naar Azure Firewall Premium met Beschikbaarheidszones in de regio Azië - zuidoost. Implementeer een nieuwe Premium firewall in Zuidoost-Azië zonder Beschikbaarheidszones of implementeer in een regio die ondersteuning biedt voor Beschikbaarheidszones.
Kan firewall niet implementeren met Beschikbaarheidszones met een nieuw gemaakt openbaar IP-adres Wanneer u een firewall met Beschikbaarheidszones implementeert, kunt u geen nieuw gemaakt openbaar IP-adres gebruiken. Maak eerst een nieuw zoneredundant openbaar IP-adres en wijs dit eerder gemaakte IP-adres toe tijdens de firewallimplementatie.

Azure Firewall Premium

Azure Firewall Premium heeft de volgende bekende problemen:

Probleem Beschrijving Oplossing
ESNI-ondersteuning voor FQDN-omzetting in HTTPS Versleutelde SNI wordt niet ondersteund in HTTPS-handshake. Momenteel ondersteunt alleen Firefox ESNI via aangepaste configuratie. Voorgestelde tijdelijke oplossing is om deze functie uit te schakelen.
Verificatie van clientcertificering wordt niet ondersteund Clientcertificaten worden gebruikt om een wederzijdse identiteitsvertrouwensrelatie te bouwen tussen de client en de server. Clientcertificaten worden gebruikt tijdens een TLS-onderhandeling. Azure Firewall onderhandelt een verbinding met de server en heeft geen toegang tot de persoonlijke sleutel van de clientcertificaten. Geen
QUIC/HTTP3 QUIC is de nieuwe primaire versie van HTTP. Het is een UDP-protocol van meer dan 80 (PLAN) en 443 (SSL). FQDN/URL/TLS-inspectie wordt niet ondersteund. Configureer het doorgeven van UDP 80/443 als netwerkregels.
Niet-vertrouwde klantondertekende certificaten Door de klant ondertekende certificaten worden niet vertrouwd door de firewall zodra deze is ontvangen van een intranetwebserver. Er wordt een oplossing onderzocht.
Verkeerde bron-IP-adres in waarschuwingen met IDPS voor HTTP (zonder TLS-inspectie). Wanneer HTTP-verkeer zonder opmaak wordt gebruikt en IDPS een nieuwe waarschuwing geeft en het doel een openbaar IP-adres is, is het weergegeven bron-IP-adres onjuist (het interne IP-adres wordt weergegeven in plaats van het oorspronkelijke IP-adres). Er wordt een oplossing onderzocht.
Certificaatdoorgifte Nadat een CA-certificaat is toegepast op de firewall, kan het 5-10 minuten duren voordat het certificaat van kracht wordt. Er wordt een oplossing onderzocht.
Ondersteuning voor TLS 1.3 TLS 1.3 wordt gedeeltelijk ondersteund. De TLS-tunnel van client naar de firewall is gebaseerd op TLS 1.2 en van de firewall naar de externe webserver is gebaseerd op TLS 1.3. Updates worden onderzocht.
KeyVault-privé-eindpunt KeyVault ondersteunt toegang tot privé-eindpunten om de netwerkblootstelling te beperken. Vertrouwde Azure-services kunnen deze beperking omzeilen als een uitzondering is geconfigureerd zoals beschreven in de KeyVault-documentatie. Azure Firewall wordt momenteel niet vermeld als een vertrouwde service en heeft geen toegang tot de Key Vault. Er wordt een oplossing onderzocht.
Beschikbaarheidszones voor firewall-Premium in de regio Azië - zuidoost U kunt momenteel geen Azure Firewall Premium implementeren met Beschikbaarheidszones in de regio Azië - zuidoost. Implementeer de firewall in Zuidoost-Azië zonder Beschikbaarheidszones of implementeer in een regio die ondersteuning biedt voor Beschikbaarheidszones.

Volgende stappen